يعتبر منع الحوادث الأمنية أحد الأهداف الأساسية لأي برنامج حماية. على الرغم من الجهود التي يبذلها متخصصو تكنولوجيا المعلومات وخبراء الحماية إلا أن الحوادث ما زالت تقع باستمرار. لذا من الضروري أن تكون الشركة أو المنظمة قادرة على الاستجابة لأي حادث والعمل على احتوائه.
الهدف الأساسي من الاستجابة للحوادث هو التقليل أو الحد من التأثير الخاص بالهجوم او الحادثة الأمنية على المنظمة أو الشركة. عرض روبودين لموضوع أحداث أمن المعلومات باختصار سابقاً. وفي هذه السلسلة من المقالات سنتعرف على الحوادث الأمنية وطرق اكتشافها والاستجابة لها. قبل التعمق في الاستجابة للحوادث من المهم فهم و تعريف ما هي الحادثة Incident. على الرغم من أن ذلك قد يبدو بسيطاً إلا أنك ستجد أن هناك تعريفات مختلفة لذا فلنقم بمناقشتها.
الحادثة الأمنية Security Incident :
يمكن تعريف الحادثة Incident على أنها أي حدث له تأثير سلبي على سرية أو سلامة أو توافر (عناصر أمن المعلومات) لأصول المؤسسة. كما يمكن تعريفها على أنها “انقطاع غير مخطط له في خدمة تكنولوجيا المعلومات أو انخفاض في جودة خدمة تكنولوجيا المعلومات، “. تشمل هذه التعريفات أحداثاً متنوعة مثل الهجمات المباشرة؟ كما تشمل الأحداث الطبيعية مثل الأعاصير أو الزلازل وحتى الحوادث الأخرى مثل قيام شخص ما بقطع الكابلات عن طريق الخطأ أو بشكل مقصود.
في المقابل، تشير كلمة حادثة أمنية computer security incident إلى أي حادثة ناتجة عن هجوم أو نتيجة لأفعال ضارة أو متعمدة من جانب المستخدم.
ويمكن أن تعرّف الحادثة الأمنية على أنها: “أي حدث ضار يهدد بعض جوانب أمان أنظمة الحاسب أو الشبكة”.
ووفقاً لدليل التعامل مع الحوادث الأمنية الصادر عن NIST – National Institute of Standards and Technology فقد تم تعريف الحادثة الأمنية على أنها أي انتهاك أو تهديد بانتهاك سياسات الحماية الخاصة بأنظمة الحاسب وسياسات الاستخدام المقبولة أو ممارسات الحماية المعيارية.
تعرف معظم الشركات الحوادث الأمنية ضمن سياسات الحماية وخطط الاستجابة للحوادث الخاصة بها كما يلي:
- محاولة لاختراق الشبكة
- محاولة لتنفيذ هجوم منع خدمة على الشبكة
- اكتشاف لبرامج خبيثة
- وصول غير مصرح به للبيانات
- انتهاك لسياسات الحماية
الحوادث الأمنية-مراحل عملية الاستجابة :
يتم التعامل مع إدارة الاستجابة الفعالة للحوادث في عدة خطوات أو مراحل. ويوضح الشكل التالي هذه الخطوات السبع المتضمنة في إدارة الاستجابة للحوادث. من المهم أن ندرك أن الاستجابة للحوادث هي نشاط مستمر وأن نتائج مرحلة الدروس المستفادة تستخدم لتحسين طرق الكشف أو المساعدة في منع تكرار الحوادث.
من المهم التأكيد أيضاً أن عملية الاستجابة للحوادث لا تتضمن أي هجوماً مضاداً ضد المهاجم. لأن شن الهجمات على الآخرين يأتي بنتائج عكسية وغالباً ما يكون أمر غير قانوني.
إذا تمكن فريق الحماية من التعرف على المهاجم والقيام بشن هجوم معاكس فمن المحتمل جداً أن يؤدي ذلك إلى تصعيد المهاجم للهجوم. بمعنى آخر قد يعتبر المهاجم الآن بأن هذا الأمر هو تحدي شخصي وسيشن هجمات إضافية أخرى ضد النظام. بالإضافة إلى ذلك من المحتمل أن يكون المهاجم مختبئاً خلف ضحية أو أكثر من الضحايا الأبرياء. غالباً ما يستخدم المهاجمون ومجرمي الانترنت أساليب انتحال لإخفاء هويتهم. وبالتالي شن هجمات بواسطة أجهزة مخترقة ومتحكم بها zombies. وهذه الآلية تتم من خلال شبكة botnet و قد تكون الهجمات المضادة ضد ضحية بريئة وليس ضد المهاجم الحقيقي.
الكشف Detection عن الحوادث الأمنية:
تتضمن بيئات تكنولوجيا المعلومات طرقاً متعددة لاكتشاف الحوادث المحتملة. و نعرض فيما يلي بعض الطرق الشائعة المستخدمة لاكتشاف الحوادث المحتملة . إضافة لبعض الملاحظات حول كيفية الإبلاغ عن الحوادث من خلال هذه الأساليب:
- أنظمة كشف / منع الاختراق IDS/IPS. تعمل هذه الأنظمة على إرسال تنبيهات لمدير النظام أو مسؤول الحماية عند حدوث أمر أو انتهاك معين.
- برامج الحماية Anti-malware والتي تقوم بعرض نوافذ منبثقة عند اكتشافها للبرمجيات الخبيثة.
- يمكن للعديد من حلول و أدوات الحماية البحث والتدقيق في سجلات النظام logs بحثاً عن أحداث محددة مسبقاً مثل استخدام صلاحيات عالية وعندما يتم اكتشاف أحداث معينة يتم إرسال تنبيه لمدير النظام او مسؤول الحماية.
- في بعض الحالات يمكن أن يكتشف المستخدم النهائي نشاط غير اعتيادي ويتواصل مع الفنيين أو مسؤولي النظام للحصول على المساعدة. عندما يقوم المستخدم بالإبلاغ عن أحداث مثل عدم القدرة على الوصول إلى مصادر الشبكة أو تحديث النظام فإنه ينبه موظفي تكنولوجيا المعلومات بخصوص هذا الأمر.
التمييز بين مشاكل تكنولوجيا المعلومات العادية والحوادث الأمنية
يجب الإشارة إلى أنه بمجرد أن يتلقى متخصص تكنولوجيا المعلومات تنبيهاً من أدوات او حلول الحماية أو شكوى من مستخدم، فإن هذا الأمر لا يعني دائماً وقوع حادثة. ففي العديد من الحالات ممكن أن تصدر أنظمة كشف / منع الاختراق IDS/IPS إنذارات خاطئة. أو من الممكن أن يكون المستخدمون النهائيون عرضة لأخطاء المستخدم البسيطة. لذا يجب أن يتحقق موظفو تكنولوجيا المعلومات في هذه الأحداث لتحديد ما إذا كانت حوادث أم لا.
يتم تصنيف العديد من مختصي تكنولوجيا المعلومات على أنهم أول المستجيبين للحوادث First responders. فهم أول من يتواجد على الساحة كما أن لديهم معرفة حول كيفية التمييز بين مشاكل تكنولوجيا المعلومات العادية والحوادث الأمنية. يمكن تشبيههم مجازاً بالمسعفين الطبيين الذين لديهم مهارات وقدرات متميزة لتقديم المساعدة الطبية في مواقع الحوادث والمساعدة في نقل المرضى إلى المرافق الطبية عند الضرورة.
تلقى المسعفون الطبيون تدريبات خاصة لمساعدتهم على تحديد الفرق بين الإصابات الطفيفة والكبيرة. بالإضافة لذلك فهم يعرفون ما يجب فعله عندما يواجهون إصابة كبيرة. وبشكل مشابه يحتاج متخصصو تكنولوجيا المعلومات إلى تدريب محدد ليتمكنوا من تحديد الفرق بين مشكلة عادية تحتاج إلى استكشاف الأخطاء وإصلاحها وحادث أمني يحتاج لتعامل مخصص معه.
وبعد التحقق من هذا الحدث وتحديده على أنه حادث أمني. ينتقل موظفو تكنولوجيا المعلومات إلى الخطوة التالية وهي الاستجابة. و في العديد من الحالات يقوم المختص الذي اجرى التحقيق الأولي بإرسال هذه المعلومات إلى مختصين آخرين للتعامل مع هذه الحالة و”الاستجابة” لها. وهذا ما سنتعرف عليه في الجزء الثاني من هذه السلسة.